Los atacantes están explotando una vulnerabilidad de inyección de comandos (CVE-2024-3400) que afecta los firewalls de Palo Alto Networks, advirtió la compañía e instó a los clientes a implementar mitigaciones temporales y ponerse en contacto para verificar si sus dispositivos se han visto comprometidos.
«Palo Alto Networks es consciente de un número limitado de ataques que aprovechan la explotación de esta vulnerabilidad», dijeron, y agradecieron a los investigadores de Volexity por señalar el problema.
La explotación de la vulnerabilidad se puede automatizar.
Acerca de CVE-2024-3400
CVE-2024-3400 es una vulnerabilidad de inyección de comandos en la función GlobalProtect del software PAN-OS de Palo Alto Networks y puede permitir que un atacante no autenticado ejecute código arbitrario con privilegios de root en firewalls vulnerables.
La vulnerabilidad afecta a las versiones 11.1, 11.0 y 10.2 de PAN-OS que tienen configuraciones habilitadas tanto para la puerta de enlace GlobalProtect como para la telemetría del dispositivo. Se solucionará con las revisiones 11.1.2-h3, 11.0.4-h1 y 10.2.9-h1, cuyo lanzamiento está previsto para el 14 de abril de 2023 (domingo).
«Puede verificar si tiene una puerta de enlace GlobalProtect configurada comprobando las entradas en la interfaz web de su firewall ( Red > GlobalProtect > Puertas de enlace ) y verificar si tiene la telemetría del dispositivo habilitada verificando la interfaz web de su firewall ( Dispositivo > Configuración > Telemetría )». Palo Alto Networks explicó.
«Los clientes con una suscripción a Prevención de amenazas pueden bloquear los ataques de esta vulnerabilidad habilitando el ID de amenaza 95187 (introducido en la versión 8833-8682 del contenido de Aplicaciones y amenazas)».
También deben aplicar un perfil de seguridad de protección contra vulnerabilidades a la interfaz GlobalProtect para evitar la explotación de este problema en su dispositivo.
Si no pueden hacer nada de eso, pueden mitigar el impacto de esta vulnerabilidad deshabilitando temporalmente la telemetría del dispositivo (y luego volviéndola a habilitar una vez que se aplique la revisión).
«Los clientes pueden abrir un caso en el Portal de atención al cliente (CSP) y cargar un archivo de soporte técnico (TSF) para determinar si los registros de su dispositivo coinciden con los indicadores conocidos de compromiso (IoC) para esta vulnerabilidad», agregó la compañía .
ACTUALIZACIÓN (12 de abril de 2024, 09:25 am ET):
«Hemos visto una explotación limitada pero un impacto en múltiples clientes», comentó en Twitter el presidente de Volexity, Steven Adair.
“Detectamos esto por primera vez hace apenas dos días. Impresionante respuesta del equipo de Palo Alto Networks, ya que trabajaron rápidamente con nosotros y ahora impulsaron una firma de Protección contra amenazas con una solución que llegará el 14 de abril”.
Fuente y redacción: helpnetsecurity.com